In seinem aktuellen Urteil vom 09.03.2016 (AZ: 12 O 151/14) hat das Landgericht Düsseldorf (LG Düsseldorf) entschieden, dass allein die Integration des Facebook Like-Button und anderer Social-Plugins auf Websites ohne die Einwilligung der betroffenen Seitenbesucher und ohne Angabe über Zweck und Funktionsweise des Buttons rechtswidrig ist. Selbstverständlich nimmt dies Einfluss auf die Datenschutzabteilungen in Unternehmen und Behörden, insbesondere auf die Tätigkeit des Beauftragten für den Datenschutz (kurz Datenschutzbeauftragter).
Folgen des Urteils
Bei direkter Integration des Like-Button von Facebook setzt dieser auf dem Rechner des Nutzers sogenannte Cookies. Durch diese sendet der Browser sofort bei Aufruf der jeweiligen Webseite dessen Daten, u.a. die IP-Adresse, an den europäischen Facebook-Serverstandort in Dublin (Irland) und i. d. R. von dort aus weiter in die USA. Hierbei spielt es keine Rolle, ob der Nutzer bei Facebook registriert ist oder nicht. Sollte der Nutzer Mitglied bei Facebook sein und ist während des Besuchs der Seite bei diesem Dienst eingeloggt, werden dessen Informationen und Aktivitäten auf der besuchten Seite mit dem Profil bei Facebook verknüpft und gespeichert. Ähnlich verhält es sich mit anderen sozialen Netzwerken wie Google+, Twitter oder Xing.
Hierfür bedarf es jedoch -nach Ansicht des Gerichts-, neben einer ausführlichen Information des Nutzers, auch dessen ausdrücklicher Einwilligung. Das Urteil (mit Sachstand: 09.03.2016) ist noch nicht rechtskräftig. Zudem stehen noch weitere Entscheidungen in diesem Zusammenhang aus, wie etwa die Entscheidung, ob es sich bei IP-Adressen überhaupt um personenbezogene Daten handelt. Der Bundesgerichtshof hat diese Frage bereits dem Europäischen Gerichtshof vorgelegt. Rein vorsorglich sollte bei internen Prozessen und Verfahren (in Unternehmen und behördlichen Organisationseinheiten) davon ausgegangen werden, dass IP-Adressen als personenbezogene Daten zu sehen sind. Das aktuelle Urteil des Landgerichts Düsseldorf erhöht jedoch zweifellos das Risiko einer Abmahnung durch den Einsatz des Facebook Like-Button.
Möglichkeiten für Webseitenbetreiber
Um das Abmahnungsrisiko zu minimieren, könnte auf eine Erweiterung der sog. 2-Klick-Lösung umgestellt werden. Die Anwendung des sog. „Shariff“ gilt derzeit als rechtssicherste und trotzdem nutzerfreundliche Methode zur Einbindung des Facebook Like-Buttons und anderen Social-Plugins. Dabei handelt es sich um eine von dem Computermagazin c’t entwickelte technische Lösung, die es ermöglicht, dass Social-Plugins erst aktiviert werden, wenn der Nutzer auf diese klickt. Auf diese Weise werden, ohne aktives Handeln des Nutzers, keine Daten an Anbieter von Social-Plugins übertragen. Darüber hinaus muss natürlich auch die Datenschutzerklärung der Websites entsprechend angeglichen bzw. ggf. erweitert werden. Ob diese Lösung gänzlich rechtskonform ist, hat das Gericht zwar ausdrücklich offen gelassen, sie bietet aber in jedem Fall die derzeit beste und sicherste Alternative, sofern nicht generell auf eine Einbindung von Social-Plugins verzichtet werden soll oder aus betriebswirtschaftlichen Gründen der Einsatz nahezu gefordert wird.
Fast schon unterstützt, könnte man meinen, wird die Anwendung „Shariff“ sogar von Seiten der Aufsichtsbehörde Schleswig-Holstein, die sie als „datenschutzfreundliche Technologie, (..) die für jeden Webseitenbetreiber obligatorisch sein sollte“ beschreibt. Andere Lösungen, wie etwa ein „Pop-Up-Fenster“ mit entsprechender Information und Einwilligungsmöglichkeit, dürfte dagegen nicht ausreichen, da auch hier die Informationen bereits durch das bloße Laden der Seite an die Anbieter übertragen werden. Betroffene (Nutzer) sind allerdings bereits vor der Erhebung, Verarbeitung oder Nutzung Ihrer Daten zumindest zu unterrichten. Denn schon bei der Erhebung personenbezogener Daten muss der Betroffene über wichtige Aspekte der Verarbeitung personenbezogener Daten informiert werden.
Fazit
Eine Einschränkung der intransparenten Datenerhebung durch soziale Netzwerke wie Facebook, Google+, Twitter, Xing und Co ist grundsätzlich begrüßenswert. Dass dies vielfach auf dem Rücken der Webseitenbetreiber ausgetragen wird, ist für dagegen bedauerlich. Sind Sie oder Ihr Arbeitgeber Webseitenbetreiber? Haben Sie Fragen zur Integration von Social-Plugins auf Ihrer Webseite?